Ironicamente, os cibercriminosos agora utilizam anúncios no próprio Google para promover sites de phishing que roubam dados de login da plataforma Google Ads.
Os hackers estão executando anúncios que se passam pelo Google Ads e aparecem nos links patrocinados do Google (ou seja, no topo das páginas de resultados). Esses links redirecionam as vítimas para páginas falsas de login que estão hospedadas no Google Sites, mas fingem ser a página oficial do Google Ads. Ali, as vítimas são levadas a inserir suas informações de acesso.
👉🏽 O Google Sites é utilizado para hospedar páginas de phishing porque ele permite que os hackers insiram seus anúncios falsos: a URL (sites.google.com) camufla o domínio do Google Ads e se torna completamente convincente.
“De fato, você não pode mostrar uma URL em um anúncio a menos que a sua landing page (ou seja, a URL de destino) corresponda ao mesmo nome de domínio. Embora essa regra busque proteger contra abuso e fraude, ela é muito fácil de contornar”, afirmou Jérôme Segura, Diretor Sênior de Pesquisa da Malwarebytes.
“Olhando para o anúncio e a página do Google Sites, vemos que esse anúncio malicioso não viola estritamente a regra, pois ‘sites.google.com’ usa os mesmos domínios-raiz do Google Ads (‘ads.google.com’). Em outras palavras, é permitido mostrar essa URL no anúncio, tornando-o indistinguível do mesmo anúncio publicado pela Google LLC.”
Entenda os estágios do ataque
De acordo com os relatos das vítimas, os ataques incluem múltiplas etapas:
- A vítima insere os dados da sua conta do Google na página de phishing;
- O kit de phishing coleta identificadores exclusivos, cookies e credenciais de login;
- A vítima pode receber um e-mail indicando que um login foi realizado no Brasil;
- Se a vítima não impedir essa tentativa de acesso desconhecida, um novo administrador é adicionado à conta de Google Ads através de um endereço diferente do Gmail;
- Os hackers saem em disparada e bloqueiam as vítimas, se conseguirem.
Pelo menos 3 grupos cibercriminosos estão por trás desses ataques: falantes de português (provavelmente operando fora do Brasil); hackers baseados na Ásia utilizando contas de anúncio de Hong Kong (ou da China), e uma terceira gangue provavelmente composta por cidadãos do leste europeu.
A empresa Malwarebytes Labs, que identificou a campanha maliciosa, acredita que o objetivo final dos cibercriminosos é vender as contas roubadas em fóruns de hacking, além de usar algumas delas para executar ataques futuros com as mesmas técnicas de phishing.
A declaração do Google
Em pronunciamento ao portal Bleeping Computer, o Google afirmou que proíbe expressamente “anúncios que visam enganar as pessoas para roubar suas informações ou enganá-las. Nossas equipes estão investigando ativamente esse problema e trabalhando rapidamente para resolvê-lo”.
Ao longo de 2023, o Google também bloqueou ou removeu 206,5 milhões de propagandas devido à violação da sua Política de Falsas Representações. A big tech também removeu mais de 3,4 anúncios, restringiu outros mais de 5,7 milhões e suspendeu mais de 5,6 milhões de contas publicitárias.
Com informações de: Bleeping Computer
Imagem: MalwareBytes Labs
